Mapreduce 将ACL策略更改为XACML_Mapreduce_Acl_Access Control_Xacml_Abac

Mapreduce 将ACL策略更改为XACML

mapreduce

Mapreduce 将ACL策略更改为XACML,mapreduce,acl,access-control,xacml,abac,Mapreduce,Acl,Access Control,Xacml,Abac,我正在尝试在MapReduce中测试一种安全方法，我想知道我的方法是否有意义。我想将MapReduce中存在的访问控制列表策略转换为XACML策略，以便将定义ACL的文件复制到每个属性的名称和值，然后将其放入遵循XACML格式的策略中这是ACL定义 mapreduce.job.acl-modify-job 使用者 mapreduce.job.acl-view-job 使用者这是XACML中的策略使用者 mapreduce.job.acl-view-job 这被认为是正确的吗？对您

我正在尝试在MapReduce中测试一种安全方法，我想知道我的方法是否有意义。我想将MapReduce中存在的访问控制列表策略转换为XACML策略，以便将定义ACL的文件复制到每个属性的名称和值，然后将其放入遵循XACML格式的策略中

这是ACL定义


mapreduce.job.acl-modify-job
使用者
mapreduce.job.acl-view-job
使用者

这是XACML中的策略


使用者
mapreduce.job.acl-view-job

这被认为是正确的吗？

对您的政策有几点评论：

它使用XACML2.0。那太老了！切换到XACML 3.0
值
```
中有一个空格
```


最终，为了扩大策略的规模，您可能希望将用户列表外部化，而不是在策略中为每个用户指定一个值。因此，您不必将用户名与Alice、Bob或Carol进行比较，而是将其与一个名为allowedUsers的属性进行比较，例如，您可以在数据库中维护该属性
另一个提示：如果将值mapreduce.job.acl-view-job拆分为不同的部分（appName=“mapreduce”objectType=“job”action=“job”），是否可以使策略更易于理解和扩展。这样，您就可以更轻松地查看、编辑和删除作业
对您的政策有几点意见：

它使用XACML2.0。那太老了！切换到XACML 3.0
值中有一个空格

最终，为了扩大策略的规模，您可能希望将用户列表外部化，而不是在策略中为每个用户指定一个值。因此，您不必将用户名与Alice、Bob或Carol进行比较，而是将其与一个名为allowedUsers的属性进行比较，例如，您可以在数据库中维护该属性
另一个提示：如果将值mapreduce.job.acl-view-job拆分为不同的部分（appName=“mapreduce”objectType=“job”action=“job”），是否可以使策略更易于理解和扩展。这样，您就可以更轻松地查看、编辑和删除作业
我会在有机会时测试该政策。看起来不错。您使用什么工具生成它？您使用什么引擎来运行它？我使用Xengine来测试和生成此策略。我将使用AuthZForce（开源）或Axiomatics（商业），因为它们在实现方面更完整。更重要的是，您可以使用ALFA来编写策略，AuthZForce或Axiomatics使用的是XACML 3.0，而不是您发给我的2.0。如果有机会，我会测试策略。看起来不错。您使用什么工具生成它？您使用什么引擎来运行它？我使用Xengine来测试和生成此策略。我将使用AuthZForce（开源）或Axiomatics（商业），因为它们在实现方面更完整。更重要的是，您可以使用ALFA来编写策略，AuthZForce或Axiomatics使用XACML 3.0，而不是您发给我的2.0。谢谢您，先生，我将考虑您的意见，并使用XACML 3更改为更完整的实现。你能详细介绍一下你的最后一个建议吗？这真的很有帮助。是的！使用有意义的、简单的古英语值，而不是值的串联。谢谢你，先生，我将考虑你的意见，并使用XACML 3更改为更完整的实现。你能详细介绍一下你的最后一个建议吗？这真的很有帮助。是的！使用有意义、简单的古英语值，而不是值的串联。